Компания Angara Security, российский поставщик услуг в области кибербезопасности, объявляет о выводе на рынок новой услуги — анализа защищенности CI/CD-процессов. Специализированный аудит инфраструктуры разработки уже прошел успешную апробацию на реальных проектах, подтвердив способность выявлять критические риски компрометации цепочки поставки программного обеспечения.
Современные технологии развиваются быстрее, чем меры безопасности. Новая услуга решает эту проблему: вместо проверки готового кода она контролирует весь процесс его создания, тестирования и доставки.
«CI/CD — это сердце современной разработки, а его защита определяет, сможет ли компания безопасно и быстро выпускать изменения без риска компрометации, — отмечает Филипп Скоков, руководитель направления анализа защищенности веб-приложений Angara Security. — Традиционный пентест проверяет внешний периметр, но в DevOps-экосистеме атаке подвергается не только код, но и сама среда разработки. Мы хотим не просто находить уязвимости, а помогать заказчикам встраивать безопасность в процессы разработки на самых ранних этапах».
В среде непрерывной разработки ключевыми объектами атак становятся сервисные аккаунты, секреты доступа, сторонние скрипты и плагины, а также артефакты и конфигурации конвейеров. Компрометация любого из этих элементов прямо или косвенно может привести к внедрению вредоносного кода в релиз без обнаружения.
Риски в цепочке поставки ПО стремительно растут. По данным Sonatype, только в первом квартале 2025 года выявлено около 18 000 вредоносных open source-пакетов, а общий объем вредоносного кода в открытых репозиториях увеличился на 26% по сравнению с предыдущим кварталом.
Одним из последних громких инцидентов стала атака на библиотеку Axios — одну из самых востребованных в экосистеме JavaScript. Компрометация популярного пакета создала риски для миллионов разработчиков по всему миру, демонстрируя, как уязвимости в зависимостях могут угрожать всей цепочке разработки.
Что предлагает Angara Security
Анализ защищенности CI/CD — это специализированный аудит инфраструктуры разработки, направленный на выявление возможностей несанкционированного доступа к секретам, подмены шагов сборки, изменения артефактов, повышения привилегий и внедрения вредоносного кода в пайплайн.
В отличие от стандартного пентеста, услуга охватывает полный цикл поставки ПО, включая:
- системы управления исходным кодом (SCM);
- CI-серверы и runner-ноды;
- системы управления секретами и хранилища артефактов;
- интеграции с облачными и внешними сервисами.
Методология аудита сочетает практики атакующего моделирования, ручное тестирование и автоматизированный анализ конфигураций и зависимостей.
Результаты апробации: реальные кейсы
В рамках пилотных проектов команда Angara Security выявила ряд критических сценариев, характерных для многих компаний:
- Утечка секретов: в одном из репозиториев обнаружены учетные данные DevOps-инженера с максимальными привилегиями, что создавало возможность полной компрометации инфраструктуры разработки.
- Недостатки конфигурации политик безопасности конвейеров: в Azure DevOps Server ограничения на запуск кастомных пайплайнов обошли через механизм тегирования runner-нод, что позволило атакующему получить контроль над агентами сборки.
- Риск подмены артефакта: отсутствие проверки подписи артефактов позволяло модифицировать сборку перед публикацией в реестр, создавая риск доставки вредоносного кода в продуктивную среду под видом легитимного релиза.
Поскольку CI/CD напрямую связан с доступом к репозиториям, облачной инфраструктуре и реальным рабочим системам, инциденты на различных этапах сборки и выпуска ПО могут иметь более серьезные последствия, чем уязвимости в конечных приложениях.
17.04.2026
